Google déploie un second correctif pour Stagefright suite à un premier défectueux
Les utilisateurs ne seront pas totalement protégés avant septembre

Le , par Stéphane le calme, Chroniqueur Actualités
D’après l’expert en sécurité Rapid7, Google devrait revoir la façon dont il colmate les failles Android à la lumière des tentatives initiales ratées pour colmater la vulnérabilité Stagefright. Une critique qui est venue suite à la déclaration de Google lui-même qui a confirmé que les utilisateurs de ses Nexus, qui étaient les premiers à bénéficier d’un correctif de sécurité, ne seraient pas totalement protégés avant septembre.

Pour rappel, la vulnérabilité Stagefright, qui doit son nom à la librairie média dans laquelle les failles ont été trouvées (sept au total selon les CVE), est exploitable à partir du moment où des pirates ont votre numéro « grâce auquel ils peuvent exécuter du code à distance via un fichier média spécialement conçu qui vous parviendra par MMS ». Les versions d’Android vulnérables sont celles qui sont postérieures à Android 2.2 soit approximativement 95% du parc Android (ou encore 950 millions d’appareils).

La première semaine de ce mois, Google a amorcé le déploiement de six patchs pour colmater la faille. Pourtant, sur les six patchs proposés, les chercheurs en sécurité d’Exodus Intelligence ont remarqué une erreur dans le code proposé par Google. L’un d’eux, Jordan Gruskovnjak, a prévenu Google le 07 août dernier et a même modifié un fichier vidéo pour montrer que, malgré le correctif, la faille était toujours exploitable. La semaine dernière, Exodus a décidé de publier le code montrant comment cela était possible parce que « malgré notre notification (et leur confirmation), Google continue de déployer le correctif défectueux pour les dispositifs Android via des mises à jour OTA ».

Dans un billet, ils ont expliqué que « ce bug a focalisé une quantité excessive d’attention – nous pensons que nous ne sommes probablement pas les seuls à avoir remarqué cette imperfection. D’autres peuvent avoir des intentions malveillantes ». Puis de dire « Google emploie énormément en matière de sécurité, ils ont tellement de personnel qu’il y en a qui consacrent leur temps à examiner les logiciels d’autres éditeurs et les obligent à respecter une limite de délai dans la fourniture de correctif. Si Google ne peut pas démontrer sa capacité de remédier avec succès une vulnérabilité révélée qui affecte ses propres clients, alors quel espoir nous reste-t-il ? ».

Le problème était situé dans le patch qui devait corriger le problème répertorié sous CVE – 2015 – 3824 (soit Google Stagefright ‘tx3g’ MP4 Atom Integer Overflow).

Le lendemain, Google a publié a rendu disponible en open source un second correctif pour corriger ce problème. Bien que l’entreprise n’ait pas souhaité s’étendre, elle a cherché à minimiser les risques utilisateurs. « Actuellement, plus de 90 pour cent des appareils Android ont une technologie appelée ASLR (Address Space Layout Randomization) activée qui protège les utilisateurs contre ce problème. Nous avons déjà envoyé le correctif à nos partenaires pour protéger les utilisateurs, et les Nexus 4/5/6/7/9/10 ainsi que le Nexus Player recevront la mise à jour OTA dans la mise à jour de sécurité mensuelle Septembre » a déclaré Google.

Pour Tod Beardsley, directeur de l'ingénierie de la sécurité chez Rapid7 - la société derrière l'outil de test de pénétration Metasploit -, « le problème auquel Google est confronté n’est pas tellement de voir des failles de sécurité dans des produits logiciels populaires : tout le monde a des failles, ça arrive. Le véritable problème que nous observons aujourd'hui c’est une rupture dans le pipeline de patch Android ».

« Dans ce cas, deux éléments essentiels du processus de traitement des vulnérabilités de Google sont défaillants. Tout d'abord, il est extrêmement difficile pour Google, ou quelqu'un d'autre, de lancer des mises à jour logiciel chez les utilisateurs. Même les appareils Nexus, dont Google a le contrôle le plus direct, devront attendre un communiqué Septembre suite à cette mise à jour du patch Stagefright insuffisante. Ce temps de latence entre avoir un correctif sous la main et le distribuer à sa base d'utilisateurs est tout simplement trop lent pour être raisonnablement sûr. Si des acteurs malveillants choisissent d'exploiter cet ensemble de vulnérabilités dans le même temps, il semble que les utilisateurs lambda ne puissent rien faire pour se défendre », a averti Beardsley.

Si les chercheurs en sécurité de Google faisant partie de l’équipe Project Zero examinent régulièrement les codes source d’autres éditeurs puis les poussent à développer des correctifs aux failles rencontrées, il ne fait pas très bon de se retrouver de l’autre côté du miroir.

« L'autre rupture dans le processus de rétroaction Stagefright était la gestion de Google suite à l'alerte d’Exodus sur le correctif défectueux à laquelle ils n’ont pas répondu en temps opportun. Beaucoup d'entreprises ont du mal suite à un premier contact avec des chercheurs qui font des rapports vulnérabilités, mais ce n’est pas le premier rodéo de Google. Après tout, le Project Zero de Google signale les vulnérabilités à d'autres grands fournisseurs régulièrement avec certaines attentes en matière de communication. Ils doivent être en mesure de pratiquer ce qu'ils prêchent un peu mieux dans ce domaine si les utilisateurs d'Android doivent faire confiance à l’intendance de Google sur son code » a-t-il conclu.

Source : Blog Exodus, bulletins de sécurité Nexus (août 2015)


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de hotcryx hotcryx - Membre extrêmement actif https://www.developpez.com
le 19/08/2015 à 15:28
Citation Envoyé par sevyc64 Voir le message
déjà qu'elles sont piratables sans Android
Et les tv connectées, les frigo, ....
Couper le frigo à distance ^^
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 20/03/2016 à 21:42
L'exploit Metaphor se sert de la même bibliothèque média que Stagefright,
la faille Android à laquelle près d'un milliard de dispositifs étaient vulnérables

L’année dernière, des chercheurs travaillant pour le compte de Zimperium Mobile Security ont divulgué une faille de sécurité extrêmement répandue dans le code source d’Android Open Source Project (AOSP). Ils l’ont nommée Stagefright, du nom d’une bibliothèque média qui gère plusieurs formats parmi les plus populaires. Les versions d’Android qui étaient vulnérables étaient celles qui étaient postérieures à Android 2.2, soit approximativement 95 % du parc Android à ce moment (environ 950 millions d’appareils).

Suite à cette publication, Google avait déployé une vague de correctifs de sécurité. L’affaire devait donc déjà être classée. Pourtant, la société NorthBit a mis au point une attaque qui exploite la même bibliothèque média que Stagefright.

Baptisé Metaphor, le principe de cette manipulation consiste à créer un buffer overflow (débordement de la mémoire tampon) afin d’accéder à d’autres zones de l’appareil. Sa principale force consiste à contourner l’ASLR (Adress Space Layout Randomization) intégré depuis Android 4.1 et qui permet de rendre ces débordements inexploitables en empêchant les pirates de prédire le nouvel adressage grâce à un système aléatoire. Aussi, l’entreprise a annoncé pouvoir lancer une attaque sur les terminaux tournant à partir d’Android 2.2 jusqu’à la version 5.1.


Si Joshua Drake, vice-président de Zimperium, s’était appuyé sur la faille CVE-2015-1538, les chercheurs de NorthBit ont opté pour la faille CVE-2015-3864. Ainsi, avec Metaphor, ils sont parvenus à obtenir un accès complet aux fichiers de l’appareil de façon à pouvoir les copier et/ou supprimer, ainsi qu’au microphone et à la caméra. « Ils ont prouvé qu’il est possible d’utiliser une fuite d’informations pour contourner l’ASLR », a noté Joshua Drake. « Alors que tous mes exploits reposaient sur la force brute pour exploiter la faille, les leurs ne se servent pas d’une supposition en aveugle. En réalité ils tirent les informations du serveur média qui vont leur permettre de concevoir un exploit pour quiconque utilise l’appareil ».

Il faut noter que Metaphor fonctionne sur une base plus large de téléphones. Les correctifs précédents publiés par Google apportaient une immunité à des utilisateurs de la version 5.1 (ou supérieure) et, dans certains cas, apportaient également une immunité à ceux qui utilisaient la version 4.4 au minimum, a noté Drake. Avec Metaphor en revanche, les utilisateurs de la version 5.1 sont exposés, ce qui représente environ 19 pour cent du parc Android.

Dans leur analyse technique de cette vulnérabilité, les chercheurs ont expliqué que le code d’attaque doit être pensé pour fonctionner sur un modèle Android spécifique, ce qui rendrait improbable de faire un exploit universel. Toutefois, Drake a soutenu qu’il est possible pour un site web de modifier la charge délivrée à un dispositif après avoir vérifié son profil matériel et logiciel. Avec du travail additionnel, un site pourrait être conçu pour attaquer un large pourcentage de téléphones vulnérables.

Un porte-parole de Google a déclaré : « les dispositifs Android avec un correctif de sécurité datant du 1er octobre 2015 ou plus sont protégés grâce au patch que nous avons publié pour corriger ce problème (CVE-2015-3864) l’année dernière. Comme toujours, nous apprécions les efforts des chercheurs de la communauté puisqu’ils tendent à rendre l’écosystème Android plus sûr pour tous ».

Source : analyse technique de la vulnérabilité (au format PDF)
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 21/03/2016 à 6:36
Du grand spectacle !
il faut croire que la bibliothèque média Android est un vraie passoire, bon c'est aussi le cas pour IOS
du coup à se demander pourquoi faire une seule lib pour tous les types de médias ? ça ne facilite pas les piratages ?

 
Contacter le responsable de la rubrique Accueil